「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。
セキュリティベンダーGuardicoreは、Microsoftのメールサーバ製品「Exchange Server」およびメールサービス「Exchange Online」の設定自動検出機能「Autodiscover」の脆弱(ぜいじゃく)性を発見した。この脆弱性はAutodiscoverが設定を自動検出する際、検出対象となるURLの生成方法に問題があることに起因する。
Autodiscoverの脆弱性は新しい問題ではない。Shape Securityは2017年にAutodiscoverの脆弱性「CVE-2016-9940」「CVE-2017-2414」を発見し、同年のセキュリティイベント「Black Hat Asia 2017」で調査結果を発表した。当時これらの脆弱性は、モバイルデバイスのメールクライアントに影響するという事実しか判明していなかった。
その後、脅威ははるかに拡大した。メールクライアント以外のアプリケーションもAutodiscoverの脆弱性の影響を受けることが分かったからだ。「われわれはこうした状況に対処しなければならない」と、Guardicoreのセキュリティリサーチ担当エリアバイスプレジデントのアミット・サーパー氏は述べる。
Guardicoreが公開したレポートは、Autodiscoverの脆弱性による影響を軽減する2つの方法を提示する。
1つ目はExchange ServerやExchange Onlineユーザー向けのものだ。Guardicoreは以下の事項を推奨する。
2つ目はソフトウェア開発者向けのものだ。「開発者は、Autodiscoverが誤った手順を踏む“ありがた迷惑”な存在にならないようにしなければならない」とサーパー氏は説明する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
KARTEに欲しい機能をAIの支援の下で開発 プレイドが「KARTE Craft」の一般提供を開始
サーバレスでKARTEに欲しい機能を、AIの支援の下で開発できる。
ジェンダーレス消費の実態 男性向けメイクアップ需要が伸長
男性の間で美容に関する意識が高まりを見せています。カタリナ マーケティング ジャパン...
イーロン・マスク氏がユーザーに問いかけた「Vine復活」は良いアイデアか?
イーロン・マスク氏は自身のXアカウントで、ショート動画サービス「Vine」を復活させるべ...